El nombramiento del delegado de Protección de Datos llamado también DPD o DPO dentro de una empresa conlleva ciertas responsabilidades y funciones específicas en materia de privacidad y protección de datos. Los puestos laborales que suelen ser incompatibles con el rol de DELEGADO DE PROTECCION DE DATOS son aquellos que generen conflictos de interés o que puedan comprometer la independencia y objetividad necesarias para desempeñar eficazmente las funciones del delegado de protección de datos. Esto supone, en especial, que el DPD no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales. Debido a la estructura organizativa específica de cada organización, esto deberá considerarse caso por caso.
Pero también otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento. Asimismo, también puede surgir un conflicto de intereses, por ejemplo, si se pide a un DPD que represente al responsable o al encargado del tratamiento ante los tribunales en casos relacionados con la protección de datos.
Dependiendo de las actividades, tamaño y estructura de la organización, puede ser una práctica recomendable que los responsables y encargados del tratamiento, determinen los puestos que podrían ser incompatibles con la función de DPD. Elaboren normas internas a tal efecto con el fin de evitar conflictos de intereses. Declaren que su DPD no tiene ningún conflicto de intereses con respecto a sus funciones como DPD.
Algunos puestos laborales incompatibles podrían ser:
Director general o ejecutivo (CEO): Este puesto de alto nivel podría generar conflictos de interés debido a su responsabilidad general sobre la empresa y su participación en la toma de decisiones estratégicas.
Director de operaciones: (COO por sus siglas en inglés, Chief Operating Officer) es responsable de supervisar y gestionar las operaciones diarias de la empresa. Sus funciones incluyen garantizar la eficiencia operativa, la calidad del producto o servicio, la optimización de procesos, la gestión de la cadena de suministro y la mejora continua. Trabaja en estrecha colaboración con otros departamentos, como producción, logística, recursos humanos y tecnología de la información, para garantizar que todas las áreas operativas funcionen de manera coordinada y eficaz. Sus labores implican conflicto de interés en la toma de decisiones con respecto al tratamiento de datos.
Director financiero: El director Financiero (CFO por sus siglas en inglés, Chief Financial Officer) es responsable de la gestión financiera de la empresa y de proporcionar liderazgo estratégico en asuntos financieros. Sus funciones incluyen la supervisión de la contabilidad, la planificación financiera, la gestión de riesgos, la elaboración de presupuestos, la gestión de inversiones y la presentación de informes financieros a la alta dirección y a los inversores. Es este caso también tiene conflicto de interés en la toma de decisiones.
Director médico: El director Médico es el profesional encargado de liderar el departamento médico en una institución de salud o empresa relacionada con la salud. Sus responsabilidades incluyen supervisar la calidad de la atención médica, establecer políticas y procedimientos clínicos, coordinar la formación del personal médico, garantizar el cumplimiento de las normativas sanitarias y promover la investigación médica. Ello conlleva toma de decisiones con respecto a los datos.
Responsable de tecnologías de la información (TI): Si este puesto tiene una influencia significativa sobre las decisiones relacionadas con el tratamiento de datos personales, podría generar conflictos de interés con las funciones del DPD.
Responsable de recursos humanos: Dado que el DPD puede tener que supervisar y asesorar en cuestiones relacionadas con el tratamiento de datos de empleados, la persona a cargo de recursos humanos podría tener conflictos de interés al ocupar ambos roles.
Responsable de marketing: Si este puesto está involucrado en la toma de decisiones relacionadas con el uso de datos personales para actividades de marketing, podría generar conflictos con las responsabilidades del DPD en materia de protección de datos.
El Grupo de Trabajo del Artículo 29 (GT29), que es el antiguo órgano consultivo europeo en materia de protección de datos ahora estas competencias las tienes asumidas el Comité Europeo de Protección de Datos (CEPD), indica que el DPD debe ser designado en función de sus cualificaciones profesionales y, en particular, su conocimiento especializado en derecho de protección de datos y su capacidad para cumplir con las responsabilidades establecidas en el RGPD.
El artículo 38 del RGPD establece que el responsable y el encargado del tratamiento garantizarán que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales”.
En consecuencia, la organización debe garantizar, por ejemplo, que:
El DPD participa con regularidad en reuniones con los cuadros directivos altos y medios.
Se recomienda que esté presente cuando se toman decisiones con implicaciones para la protección de datos. Toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado.
La opinión del DPD se tiene siempre debidamente en cuenta. En caso de desacuerdo, el Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
Se consulta al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.
En general, cualquier puesto que tenga una influencia significativa en las decisiones relacionadas con el tratamiento de datos personales y que pueda comprometer la imparcialidad y la independencia del DPD podría considerarse incompatible con este nombramiento. Es importante que el DPD pueda desempeñar sus funciones de manera objetiva y sin interferencias indebidas de otros departamentos o áreas de la empresa.